組み立て人生

自分の生活をブロックの様に組み合わせて、より豊かな暮らしを目指しています。

作成したウェブにラピッドSSL導入(2)

さて、ここ一週間SSL導入を繰り返しています。

 

実は失敗の連続でした。

一度は徹夜しました。

Apache再起動で失敗していました。

 

SSLのポイントは、

秘密鍵(****.key)

サーバーセキュリティー証明書

中間サーバー証明書

 

これを適切な場所において、

/etc/httpd/conf.d/ssl.conf   (CentOS7)

を正確に書き換えることです。(原因はこれでした。)

Apacheが再起動に失敗する原因は、主に、

(1)ポートの衝突

(2)モジュールの読み込み不良

(3)confファイルの間違い(書き間違い)

だそうです。

 

以下のコマンドを打ち込み解析しました。

journalctl  -xe

もしくは、

apachectl configtest(構文チェック):SyntaxOKとなればいい。

 

私が解決した方法は、

鍵ファイル、証明書crtファイルの丁寧なコピペ、です。

??ですよね。

 

鍵ファイルからCSRを作成して、SSLを申しこみして、

セキュリティ証明書を手に入れるところは前回簡単に書いたので省きます。

 

素人にとって難しいのはここからです。

手に入れた証明書、秘密鍵を置くところから、SSL設定に入ります。

これらファイルを開くアプリは、エディターです。

(中身を開いてサーバーにコピペするわけです。)

私は「Mery」を使いました。

(1)****.key(秘密鍵

(2)****.crt(サーバー・セキュリティー証明書)

(3)****ca-rapidssl.crt(中間サーバー証明書

をそれぞれ開いて、ssh端末でサーバーに接続し、適所にコピペします。

さて、結論からいうと、このコピペで、先頭の文字が消えていたのです!!

「------BEGI」が消え去ってました。

 

本来なら、

-----BEGIN CERTIFIED------となる部分が、

N RTIFIED-----と不完全なヘッダーになっていた!わけです。

 

なので、これを全部書き加えたのです。

なぜコピペでこの部分が消えるのか不明です。

さて、どこにコピペするのか?

ずばり、/ssl.confに書いてあるフォルダを利用して、そこに置きます。

秘密鍵と証明書は任意の場所に置くといっている人がいますが、できるだけconfファイルを書き換えたくないので、もともと書いてある場所を利用しましょう!!

秘密鍵は、

/etc/pki/tls/private/loacalhost.keyと同じ場所に置きます。

loacalhost.keyは自分のウェブアドレスに書き換えます。

方法は、suでviを起動し、コピペ、保存しますが、

はじめる時点でまだここに自分の鍵ファイルは存在しません。

vi /etc/pki/tls/private/*****.keyとコマンド入力、(***は自分のアドレス)

内容のないNewファイルが開かれ、そこにコピペ、------BEGIを書き加え、

escでコマンドモードにして、:wqで上書き保存して終了。

これで、サーバーに、自分の鍵ファイルが作られました。

サーバー証明書は、/etc/pki/tls/certs/に

/etc/pki/tls/certs/****.crt

中間サーバー証明書も、/etc/pki/tls/certs/に

/etc/pki/tls/certs/ca-rapidissl.crtという名前で作成します。

 

秘密鍵サーバー証明書、(中間サーバー証明書が)を適所に置いたら、

 このあと、/ect/httpd/conf.d/ssl.confを書き換えます。

(書き換える場所は、鍵、証明書、中間証明書、の場所指定、#を削除)

そして、最後にhttpdを停止・起動します。

つまり、httpd=Apacheを再起動させると完了です。

 systemctl stop httpd

 systemctl start httpd

たったこれだけですが、だいたい、初めは失敗します。

慌てず、焦らず、/etc/httpd/conf.d/ssl.confを見直しましょう。

たまたま、私は、鍵と証明書のヘッダーが欠けていたので、

Apacheが再起動しないトラブルに3回見舞われ、3回OSを再インストールしました。

なんどやっても同じ結果なので、おかしいなと思いました。

つまりやり方は正しいのではないかと思ったのです。

そしてついに、コピペで失敗していることに気が付いたのです。

 単純なコピペ不良で、システム障害になるとは思いませんよね。